"Den fyr, der lavede vores hjemmeside, har allerede opsat DDoS-beskyttelse."
"Vi har DDoS-beskyttelse, hvorfor gik siden ned?"
"Hvor mange tusinde vil Qrator have?"
For at kunne besvare sådanne spørgsmål fra kunden/chefen korrekt, ville det være rart at vide, hvad der gemmer sig bag navnet “DDoS-beskyttelse”. At vælge sikkerhedstjenester er mere som at vælge en medicin fra en læge end at vælge et bord i IKEA.
Jeg har støttet websteder i 11 år, har overlevet hundredvis af angreb på de tjenester, jeg understøtter, og nu vil jeg fortælle dig lidt om beskyttelsens indre funktion.
Regelmæssige angreb. 350k req i alt, 52k req legitim
De første angreb dukkede op næsten samtidigt med internettet. DDoS som fænomen er blevet udbredt siden slutningen af 2000'erne (tjek ud ).
Siden omkring 2015-2016 har næsten alle hostingudbydere været beskyttet mod DDoS-angreb, ligesom de fleste fremtrædende websteder i konkurrenceområder (gør whois ved IP af webstederne eldorado.ru, leroymerlin.ru, tilda.ws, du vil se netværkene af beskyttelsesoperatører).
Hvis de fleste angreb for 10-20 år siden kunne afvises på selve serveren (vurder anbefalingerne fra Lenta.ru systemadministrator Maxim Moshkov fra 90'erne: ), men nu er beskyttelsesopgaver blevet vanskeligere.
Typer af DDoS-angreb fra synspunktet om valg af beskyttelsesoperatør
Angreb på L3/L4-niveau (ifølge OSI-model)
— UDP-oversvømmelse fra et botnet (mange anmodninger sendes direkte fra inficerede enheder til den angrebne tjeneste, serverne er blokeret med kanalen);
— DNS/NTP/etc-forstærkning (mange anmodninger sendes fra inficerede enheder til sårbare DNS/NTP/etc., afsenderens adresse er forfalsket, en sky af pakker, der reagerer på anmodninger, oversvømmer kanalen for den person, der bliver angrebet; sådan er det mest massive angreb udføres på det moderne internet);
— SYN / ACK flood (mange anmodninger om at etablere en forbindelse sendes til de angrebne servere, forbindelseskøen flyder over);
— angreb med pakkefragmentering, ping of death, ping flood (Google det venligst);
- og så videre.
Disse angreb har til formål at "tilstoppe" serverens kanal eller "dræbe" dens evne til at acceptere ny trafik.
Selvom SYN/ACK-oversvømmelser og forstærkning er meget forskellige, bekæmper mange virksomheder dem lige så godt. Der opstår problemer med angreb fra den næste gruppe.
Angreb på L7 (applikationslag)
— http flood (hvis et websted eller et http-api angribes);
— et angreb på sårbare områder af webstedet (dem, der ikke har en cache, som belaster webstedet meget hårdt osv.).
Målet er at få serveren til at "arbejde hårdt", behandle en masse "tilsyneladende rigtige forespørgsler" og stå uden ressourcer til rigtige forespørgsler.
Selvom der er andre angreb, er disse de mest almindelige.
Alvorlige angreb på L7-niveau skabes på en unik måde for hvert projekt, der bliver angrebet.
Hvorfor 2 grupper?
For der er mange, der ved, hvordan man afviser angreb godt på L3/L4-niveau, men enten slet ikke optager beskyttelse på applikationsniveau (L7), eller stadig er svagere end alternativer til at håndtere dem.
Hvem er hvem på DDoS-beskyttelsesmarkedet
(min personlige mening)
Beskyttelse på L3/L4 niveau
For at afvise angreb med forstærkning ("blokering" af serverkanalen) er der nok brede kanaler (mange af beskyttelsestjenesterne forbinder til de fleste af de store backbone-udbydere i Rusland og har kanaler med en teoretisk kapacitet på mere end 1 Tbit). Glem ikke, at meget sjældne amplifikationsangreb varer længere end en time. Hvis du er Spamhaus, og alle ikke kan lide dig, ja, kan de forsøge at lukke dine kanaler ned i flere dage, selv med risiko for, at det globale botnets videre overlevelse bliver brugt. Hvis du bare har en online butik, selvom det er mvideo.ru, vil du ikke se 1 Tbit inden for et par dage meget snart (håber jeg).
For at afvise angreb med SYN/ACK-oversvømmelser, pakkefragmentering osv., har du brug for udstyr eller softwaresystemer til at opdage og stoppe sådanne angreb.
Mange mennesker producerer sådant udstyr (Arbor, der er løsninger fra Cisco, Huawei, softwareimplementeringer fra Wanguard osv.), mange backbone-operatører har allerede installeret det og sælger DDoS-beskyttelsestjenester (jeg kender til installationer fra Rostelecom, Megafon, TTK, MTS , faktisk gør alle større udbydere det samme med hostere med deres egen beskyttelse a-la OVH.com, Hetzner.de, jeg stødte selv på beskyttelse hos ihor.ru). Nogle virksomheder udvikler deres egne softwareløsninger (teknologier som DPDK giver dig mulighed for at behandle snesevis af gigabits trafik på én fysisk x86-maskine).
Af de kendte spillere kan alle kæmpe mod L3/L4 DDoS mere eller mindre effektivt. Nu vil jeg ikke sige, hvem der har den største maksimale kanalkapacitet (dette er insiderinformation), men normalt er dette ikke så vigtigt, og den eneste forskel er, hvor hurtigt beskyttelsen udløses (øjeblikkeligt eller efter et par minutters projektnedetid, som i Hetzner).
Spørgsmålet er, hvor godt dette er gjort: Et forstærkningsangreb kan afvises ved at blokere trafik fra lande med den største mængde skadelig trafik, eller kun virkelig unødvendig trafik kan kasseres.
Men samtidig, baseret på min erfaring, klarer alle seriøse markedsaktører dette uden problemer: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (tidligere SkyParkCDN), ServicePipe, Stormwall, Voxility mv.
Jeg har ikke stødt på beskyttelse fra operatører som Rostelecom, Megafon, TTK, Beeline; ifølge anmeldelser fra kolleger leverer de disse tjenester ganske godt, men indtil videre påvirker manglen på erfaring periodisk: nogle gange er du nødt til at finjustere noget gennem supporten af beskyttelsesoperatøren.
Nogle operatører har en separat tjeneste "beskyttelse mod angreb på L3/L4-niveau" eller "kanalbeskyttelse"; det koster meget mindre end beskyttelse på alle niveauer.
Hvorfor er det ikke backbone-udbyderen, der afviser angreb på hundredvis af Gbits, da den ikke har sine egne kanaler?Beskyttelsesoperatøren kan oprette forbindelse til enhver af de store udbydere og afvise angreb "på dens bekostning." Du bliver nødt til at betale for kanalen, men alle disse hundredvis af Gbits vil ikke altid blive brugt; der er muligheder for at reducere omkostningerne ved kanaler markant i dette tilfælde, så ordningen forbliver brugbar.
Dette er de rapporter, jeg regelmæssigt modtog fra L3/L4-beskyttelse på højere niveau, mens jeg understøttede hostingudbyderens systemer.
Beskyttelse på L7-niveau (applikationsniveau)
Angreb på L7-niveau (applikationsniveau) er i stand til at afvise enheder konsekvent og effektivt.
Jeg har ret meget erfaring med
— Qrator.net;
— DDoS-Guard;
- G-Core Labs;
- Kaspersky.
De opkræver for hver megabit ren trafik, en megabit koster omkring flere tusinde rubler. Hvis du har mindst 100 Mbps ren trafik - åh. Beskyttelse vil være meget dyr. Jeg kan fortælle dig i de følgende artikler, hvordan du designer applikationer for at spare meget på sikkerhedskanalernes kapacitet.
Den rigtige "konge af bakken" er Qrator.net, resten halter bagefter. Qrator er indtil videre de eneste efter min erfaring, der giver en procentdel af falske positiver tæt på nul, men samtidig er de flere gange dyrere end andre markedsaktører.
Andre operatører giver også høj kvalitet og stabil beskyttelse. Mange tjenester, der understøttes af os (inklusive meget kendte i landet!) er beskyttet mod DDoS-Guard, G-Core Labs og er ganske tilfredse med de opnåede resultater.
Angreb afvist af Qrator
Jeg har også erfaring med små sikkerhedsoperatører som cloud-shield.ru, ddosa.net, tusindvis af dem. Jeg vil bestemt ikke anbefale det, fordi... Jeg har ikke meget erfaring, men jeg vil fortælle dig om principperne for deres arbejde. Deres omkostninger til beskyttelse er ofte 1-2 størrelsesordener lavere end større aktørers. Som regel køber de en delvis beskyttelsestjeneste (L3/L4) fra en af de større spillere + laver deres egen beskyttelse mod angreb på højere niveauer. Dette kan være ret effektivt + du kan få god service for færre penge, men det er stadig små virksomheder med et lille personale, husk det venligst.
Hvad er vanskeligheden ved at afvise angreb på L7-niveau?
Alle applikationer er unikke, og du skal tillade trafik, der er nyttig for dem, og blokere skadelige. Det er ikke altid muligt entydigt at luge bots ud, så du skal bruge mange, rigtig MANGE grader af trafikrensning.
Engang var nginx-testcookie-modulet nok (), og det er stadig nok til at afvise et stort antal angreb. Da jeg arbejdede i hostingbranchen, var L7-beskyttelse baseret på nginx-testcookie.
Desværre er angreb blevet sværere. testcookie bruger JS-baserede bot-tjek, og mange moderne bots kan bestå dem.
Angrebsbotnet er også unikke, og der skal tages hensyn til hver enkelt stor botnets egenskaber.
Amplifikation, direkte oversvømmelse fra et botnet, filtrering af trafik fra forskellige lande (forskellig filtrering for forskellige lande), SYN/ACK-oversvømmelse, pakkefragmentering, ICMP, http-flooding, mens du på applikations-/http-niveau kan komme med et ubegrænset antal af forskellige angreb.
I alt kan der på niveauet for kanalbeskyttelse, specialiseret udstyr til clearing af trafik, speciel software, yderligere filtreringsindstillinger for hver klient være titusinder og hundredvis af filtreringsniveauer.
For at administrere dette korrekt og justere filtreringsindstillingerne korrekt for forskellige brugere, har du brug for en masse erfaring og kvalificeret personale. Selv en stor operatør, der har besluttet at levere beskyttelsestjenester, kan ikke "dumt kaste penge på problemet": Der skal indhentes erfaringer fra løgnagtige sider og falske positiver om lovlig trafik.
Der er ingen "repel DDoS"-knap til sikkerhedsoperatøren; der er et stort antal værktøjer, og du skal vide, hvordan du bruger dem.
Og endnu et bonuseksempel.
En ubeskyttet server blev blokeret af hosteren under et angreb med en kapacitet på 600 Mbit
("Tabet" af trafik er ikke mærkbart, fordi kun 1 websted blev angrebet, det blev midlertidigt fjernet fra serveren, og blokeringen blev ophævet inden for en time).
Den samme server er beskyttet. Angriberne "overgav sig" efter en dag med tilbageviste angreb. Selve angrebet var ikke det stærkeste.
Angreb og forsvar af L3/L4 er mere trivielle; de afhænger hovedsageligt af tykkelsen af kanalerne, detektions- og filtreringsalgoritmer for angreb.
L7-angreb er mere komplekse og originale; de afhænger af den applikation, der angribes, angribernes evner og fantasi. Beskyttelse mod dem kræver en masse viden og erfaring, og resultatet er måske ikke umiddelbart og ikke hundrede procent. Indtil Google kom med et andet neuralt netværk til beskyttelse.
Kilde: www.habr.com